Способ и система для предотвращения вредоносного использования сообщения электронной почты

Область техники, к которой относится изобретение

Настоящее изобретение относится к области предотвращения вирусов электронной почты.

Предшествующий уровень техники

Структура сообщений электронной почты устанавливается, например, в публикациях RFC 2822, 2045-2049. Согласно рекомендациям этих публикаций сообщения электронной почты должны быть в текстовом формате, т.е. содержать только ASCII-символы, несмотря на двоичный формат. Таким образом, структура сообщений электронной почты является действительно гибкой, несмотря на существование определений относительно структуры электронной почты. Более того, клиенты электронной почты пытаются обрабатывать отклонения от того, что считается стандартом, для того чтобы сделать доступным обмен информацией между настолько большим количеством клиентов электронной почты, насколько это возможно.

Относительно свободная структура может быть использована взломщиками («хакерами») для внедрения враждебного содержимого в компьютеры получателей, серверы электронной почты и средства контроля (т.е. системы для обнаружения враждебного содержимого внутри сообщений электронной почты), функционирующие между отправителями и получателями.

Фиг.1 иллюстрирует простое сообщение электронной почты. Оно содержит три компонента:

- заголовок: компоненты с 11 по 14;

- разделительная строка: пустая строка 15; и

- текст сообщения: помечен с 16 по 18.

«Компонент» может содержать «подкомпоненты». Например, компоненты с 11 по 14 могут рассматриваться как «подкомпоненты» заголовка электронной почты, а компоненты с 16 по 18 могут рассматриваться как подкомпоненты компонента содержимого электронной почты.

Разделительная строка 15 отделяет заголовки с 11 по 14 от текста сообщения, который помечен с 16 по 18.

Сообщение содержит четыре заголовка:

- «От»: личность отправителя, помеченная как 11;

- «Кому»: личность получателя, помеченная как 12;

- «Тема»: тема послания, помеченная как 13; и

- «Дата»: дата, когда было послано сообщение, помеченная как 14.

Как упомянуто выше, предполагается, что сообщение электронной почты содержит только ASCII-символы, однако, обычно клиентское программное обеспечение электронной почты (например, Outlook Express) не укажет ошибку, если принятое сообщение электронной почты содержит не-ASCII символы («недопустимое содержимое»). Формат даты, когда было послано сообщение электронной почты, также не устанавливается и, следовательно, дополнительные символы, добавленные к этому полю, не вызовут указания ошибки клиентом электронной почты или сервером.

Термин «вредоносное использование» в данной области техники относится к атаке на вычислительную систему, которая использует преимущество конкретной уязвимости вычислительной системы. Например, «атака с переполнением буфера» является известной ошибкой во множестве систем. Она служит причиной перекрытия программным приложением системных областей, таких как системный стек, тем самым получая управление над этой системой.

Фиг.2 схематично иллюстрирует атаку с переполнением буфера. Компьютерная память 20 «удерживает» программное обеспечение 21 клиента электронной почты, сообщение 22 электронной почты и системный стек 23. Используя неправильно сформированную структуру сообщения 22 электронной почты, содержимое сообщения 22 электронной почты может переписать память, выделенную для системного стека 23. Это проиллюстрировано стрелкой 24, которая символизирует расширение памяти, требуемой для удержания сообщения 22 электронной почты. Таким образом, вставляя машинный код в неожиданные места сообщения электронной почты, этот код может быть исполнен на компьютере получателя и вызвать повреждение. Более того, так как сервера электронной почты обычно содержат средства контроля, такое вредоносное использование может также применяться для компьютеров, которые запускают средства контроля, серверов электронной почты и так далее.

Другой хорошо известной уязвимостью систем, относящихся к электронной почте, является то, что средство контроля может быть незнакомо с определенной структурой сообщения электронной почты и, следовательно, позволяет вложению достигать системы получателя («собственный тип кодирования»). Это может использоваться для внедрения враждебного содержимого в компьютер получателя и сервер электронной почты. Например, Base64 и TNEF являются форматами для файлов, прикрепленных к сообщению электронной почты, однако, некоторые из средств контроля электронной почты не поддерживают TNEF. Соответственно, если сообщение электронной почты, отправленное Microsoft Outlook, использует формат TNEF средство контроля, которое не поддерживает TNEF, не отыщет враждебное содержимое внутри вложения и, следовательно, получатель может принять непроверенный файл. Более того, клиенты электронной почты, которые не поддерживают определенный формат вложения, не позволяют своим пользователям использовать прикрепленный файл в этом формате и, следовательно, оставляют пользователей беззащитными в таких случаях.

Фиг.3 иллюстрирует сообщение электронной почты, сформированное клиентом электронной почты Outlook Express. Файл, названный FIG0000.BMP, прикреплен к сообщению. Файл в формате Base64, соответственно длина его строк 32 составляет 76 символов, если это не последняя строка. Он содержит только одну текстовую строку 34. Сообщение электронной почты является многокомпонентным сообщением, в котором каждый компонент отделен граничной строкой 31. Название рисунка появляется в двух компонентах 33.

Гибкая структура сообщения оставляет широкое поле для вредоносного использования. Например, название прикрепленного файла появляется дважды. Поднимаются следующие вопросы: Как будет реагировать определенный клиент электронной почты, если названия не идентичны («противоречивая информация»)? Как будет реагировать определенный клиент электронной почты, если строки прикрепленного файла не одинакового размера («неправильно сформированное вложение»)? Как определенное средство контроля будет действовать, если, несмотря на факт, что прикрепленный файл имеет расширение BMP, которое указывает файл изображения, прикрепленный файл является на самом деле исполняемым файлом («маскировка типа файла»)? И что произойдет, когда сообщение загружается в память клиента электронной почты, если длина даты регистрации равна 64 кбайта вместо десятков байт? И так далее.

Относительно неправильно сформированных вложений другой хорошо известной проблемой является то, что длина строки некоторых клиентов электронной почты, например, Microsoft Outlook, является кратной 4, например, 4, 8, 12, 16, 20, 24, ... 76 байт и так далее. Когда фактическая длина строки не соответствует этому правилу, это по-разному может быть интерпретировано каждым клиентом электронной почты и сканером почты.

Другой хорошо известной проблемой относительно сообщений электронной почты является то, что некоторые клиенты электронной почты, например, Microsoft Outlook, добавляют к исходящим сообщениям электронной почты поля, которые не определены в стандартах электронной почты. Обычно такие поля ориентированы на клиента электронной почты получателя, в случае, где клиент электронной почты является аналогичным продуктом, как и клиент электронной почты отправителя (например, и отправитель, и получатель являются Outlook Express). Однако, с точки зрения отправителя, дополнительные поля могут содержать информацию, которую он может не захотеть отправить получателю.

Следовательно, целью настоящего изобретения является предоставление способа для предотвращения вредоносного использования сообщений электронной почты, используя их необычную структуру.

Дополнительной целью настоящего изобретения является предоставление возможности сообщению электронной почты соответствовать требованиям множества клиентов электронной почты.

Еще одной целью настоящего изобретения является предотвращение отправки посредством сообщений электронной почты информации, которая не соответствует стандартам электронной почты.

Другие цели и преимущества изобретения станут очевидны по мере продолжения описания.

Сущность изобретения

В одном аспекте настоящее изобретение относится к способу и системе для предотвращения вредоносного использования сообщения электронной почты и системе. Способ содержит: разбор сообщения электронной почты на его компоненты; для каждого из компонентов корректировка структурной формы (например, структуры, формата и содержимого) компонента для соответствия его общим правилам всякий раз, когда структурная форма компонента отклоняется от этих правил; и повторное составление сообщения электронной почты из его компонентов (в их последнем состоянии).

Правила относятся к структуре сообщений электронной почты для предотвращения неправильно сформированной структуры сообщений электронной почты, для предотвращения вредоносного использования сообщения электронной почты и т.д. В случае, когда структурная форма компонента не может быть идентифицирована, компонент может не быть включен в повторно составленное сообщение электронной почты, либо включается как есть в повторно составленное сообщение электронной почты. Неправильно сформированная структура сообщений электронной почты может быть неправильной структурой компонента, неправильным содержимым компонента, противоречивой информацией, неправильно сформированным вложением, собственным типом кодирования, маскировкой типа файла и так далее.

В другом аспекте настоящее изобретение направлено на систему для предотвращения вредоносного использования сообщения электронной почты. Система содержит: модуль для идентификации компонентов сообщения электронной почты; модуль для проверки соответствия структурной формы сообщения электронной почты его общим правилам; модуль для исправления структурной формы сообщения электронной почты; и модуль для повторного составления сообщения электронной почты из его компонентов в их последнем состоянии. Система может дополнительно содержать модуль для обнаружения враждебного содержимого внутри упомянутых компонентов. Система размещается в хост-платформе, например как клиент электронной почты, расширение к клиенту электронной почты, сервер электронной почты, расширение к серверу электронной почты, устройство и так далее.

Перечень фигур чертежей

Настоящее изобретение может быть лучше понято в связи со следующими фигурами:

Фиг.1 - иллюстрация простого сообщения электронной почты;

Фиг.2 - схематическая иллюстрация атаки с переполнением буфера;

Фиг.3 - иллюстрация сообщения электронной почты, сформированного клиентом электронной почты Outlook Express; и

Фиг.4 - высокоуровневая блок-схема последовательности операций процесса предотвращения вредоносного использования сообщения электронной почты согласно предпочтительному варианту осуществления изобретения.

Фиг.5 - схематическая иллюстрация модулей системы для предотвращения вредоносного использования сообщения электронной почты согласно предпочтительному варианту осуществления изобретения.

Фиг.6 - схематическая иллюстрация компоновки почтовой системы, в которой реализована система для предотвращения вредоносного использования сообщения электронной почты.

Подробное описание предпочтительных вариантов осуществления

Фиг.4 является высокоуровневой блок-схемой последовательности операций процесса предотвращения вредоносного использования сообщения электронной почты согласно предпочтительному варианту осуществления изобретения. Она описывает цикл, в котором все компоненты сообщения электронной почты проверяются.

На этапе 40 следующий компонент «извлекается» из сообщения электронной почты. (В первый раз этот этап 40 выполняется в отношении сообщения электронной почты, «следующий» компонент является первым компонентом сообщения электронной почты, согласно их порядку в сообщении электронной почты).

На следующем этапе 41, который является этапом принятия решения, выясняется предмет соответствия структуры электронной почты общей структуре электронной почты. Например, содержит ли содержимое компонента только ASCII-символы? Или в случае, где компонент относится к одному или более адресов электронной почты, соответствует ли компонент и его содержимое общей структуре адреса электронной почты? И так далее.

От этапа 41, если компонент и его содержимое соответствуют общей структуре электронной почты, процесс продолжается на этапе 43, иначе процесс продолжается на этапе 42.

На этапе 42 компонент восстанавливается так, чтобы его структура и содержимое соответствовали общей структуре сообщений электронной почты. Например, если строка содержит не-ASCII символы, то эти символы удаляются или заменяются пробелами, или если длина строкового компонента не является разумной для содержимого (например, 200 символов для даты), то дополнительные символы будут удалены, и так далее.

На этапе 43 измененный компонент (или неизмененный компонент, в случае если он соответствует общей структуре сообщений электронной почты) добавляется к восстановленному сообщению электронной почты.

От этапа 44, если необходимо обработать больше компонентов, то процесс продолжается на этапе 40, иначе процесс переходит к этапу 45, где он заканчивается.

Если содержимое компонента не является общей структурой сообщений электронной почты, то компонент не добавляется к повторно составленному сообщению электронной почты.

Конечно, компоненты сообщения электронной почты могут быть проверены на наличие враждебного содержимого.

Как упомянуто выше, хорошо известной уязвимостью систем, относящихся к электронной почте, является длина некоторых форматов, которая, например, в Base64 должна быть кратной 4, т.е. 4, 8, 12, 16, 32, 64 бита и так далее. Согласно одному варианту осуществления настоящего изобретения изменение формата вложения на правильный формат, не обязательно Base64, гарантирует, что каждый клиент электронной почты, который поддерживает этот формат, будет в состоянии обработать данные. Однако еще существует некоторая возможность, что «правильное» вложение не будет интерпретировано как неправильный источник. Существуют некоторые решения этой проблемы, например, повторное составление компонента электронной почты таким образом, что «усредненный» клиент электронной почты (Outlook Express является хорошим примером) будет интерпретировать повторно составленное вложение и исходное вложение одинаковым образом. В самом худшем случае разделение модифицирует вложение, но тогда конечный пользователь получает те же данные, что достигли сканера. Конечно, оно не будет являться исходным вложением, но все же вирус может быть «отфильтрован».

Следовательно, настоящее изобретение предоставляет способ и модуль для предотвращения вредоносного использования сообщений электронной почты посредством использования их необычной структуры. Оно также дает возможность сообщению электронной почты соответствовать требованиям множества клиентов электронной почты и также предотвращает отправку через сообщения электронной почты информации, которая не соответствует стандартам электронной почты, тем самым предотвращая попадание нежелательной информации в чужие руки.

Изобретение может быть реализовано как часть клиента электронной почты, как расширение к почтовому клиенту, как часть сервера электронной почты, как расширение к почтовому серверу, как устройство («черный ящик» для обеспечения особых функциональных возможностей, обычно в качестве замещения для программного обеспечения, которое нужно установить на систему размещения) и так далее. Например, в клиенте электронной почты Outlook изобретение может быть реализовано через модуль «расширения».

Фиг.5 схематически иллюстрирует модули системы для предотвращения вредоносного использования сообщения электронной почты согласно предпочтительному варианту осуществления изобретения. Система является встроенной в хост-платформу 50. Хост-платформа 50 может быть клиентом электронной почты, расширением почтового клиента, частью сервера электронной почты, расширением почтового сервера, устройством («черным ящиком» для обеспечения особых функциональных возможностей, обычно в качестве замещения для программного обеспечения, которое нужно установить в хост-системе) и так далее. Например, в клиенте электронной почты Outlook изобретение может быть реализовано через модуль «расширения».

Модулями системы для предотвращения вредоносного использования сообщения 50 электронной почты могут быть:

- Модуль для идентификации компонентов сообщения электронной почты, помеченный как 51.

- Модуль для проверки соответствия структурной формы упомянутого сообщения электронной почты его общим правилам, помеченный как 52.

- Модуль для исправления структурной формы упомянутого сообщения электронной почты, помеченный как 53.

- Модуль для повторного составления упомянутого сообщения электронной почты из его компонентов в их последнем состоянии, помеченный как 55.

В дополнение, система для предотвращения вредоносного использования сообщения 50 электронной почты может дополнительно содержать модуль 54 для обнаружения враждебного содержимого внутри компонентов электронной почты. Специалисты в данной области техники примут во внимание, что обнаружение враждебного содержимого может быть осуществлено множеством способов, известных в данной области техники, таких как обнаружение «сигнатуры» вируса.

Элементы с 51 по 55 являются компьютерными средствами, например модулями программного обеспечения/аппаратного обеспечения. Когда сообщение электронной почты достигает хост-платформы 50 (например, почтового сервера), сообщение электронной почты направляется модулю 51 для идентификации компонентов электронной почты. Каждый компонент направляется модулю 52 для проверки соответствия структурной формы сообщения электронной почты его общим правилам. Если проверяемый компонент или его содержимое не соответствует упомянутым правилам, компонент исправляется для соответствия этим правилам. В дополнение, компонент может быть проверен на наличие враждебного кода посредством модуля 54 для обнаружения враждебного содержимого. Это может быть осуществлено с помощью множества способов, известных в данной области техники, таких как обнаружение подписи вируса. После того, как компонент исправлен, он добавляется к повторно составленному сообщению электронной почты посредством модуля 55 для повторного составления сообщения электронной почты из его компонентов. Конечно, элементы с 51 по 55 могут являться подмодулями одного модуля.

Фиг.6 схематически иллюстрирует компоновку почтовой системы, в которой реализовано устройство для предотвращения использования сообщения электронной почты. Пользователи 71-74 соединены через локальную сеть (LAN) 65 с сервером 60 электронной почты. Сервер 60 электронной почты содержит ящики 61-64 электронной почты, которые принадлежат пользователям 71-74 соответственно. Сервер электронной почты соединен с Интернетом 67, через который пользователи 71-74 могут обмениваться сообщениями электронной почты с другими пользователями по всему миру. Конечно, пользователи 71-74 могут обмениваться сообщениями электронной почты между собой, но в этом случае соединение с Интернетом является бессмысленным. Компоновка, описанная на фиг.6, отличается от предшествующего уровня техники присутствием системы 66 для предотвращения вредоносного использования сообщения электронной почты. Система 66 размещается в сервере 60 электронной почты. Пример модулей системы 66 проиллюстрирован на фиг.5.

Специалисты в данной области техники примут во внимание, что изобретение может быть осуществлено другими формами и путями, без потери объема изобретения. Варианты осуществления, описанные в этой заявке, следует рассматривать как иллюстративные и не ограничительные.

1. Способ предотвращения вредоносного использования сообщения электронной почты, содержащий этапы, на которых разбирают упомянутое сообщение электронной почты на его компоненты; для каждого из упомянутых компонентов исправляют структурную форму упомянутого компонента для соответствия его правилам, если структурная форма упомянутого компонента отклоняется от упомянутых правил; и повторно составляют упомянутое сообщение электронной почты из его компонентов.

2. Способ по п.1, в котором упомянутые правила относятся к общей структуре сообщения электронной почты.

3. Способ по п.1, в котором, по меньшей мере, одно из упомянутых правил относится к обнаружению неправильно сформированной структуры упомянутого сообщения электронной почты.

4. Способ по п.1, в котором, по меньшей мере, одно из упомянутых правил относится к обнаружению вариантов вредоносного использования внутри упомянутого сообщения электронной почты.

5. Способ по п.1, в котором упомянутая структурная форма выбирается из группы, содержащей: структуру, формат и содержимое.

6. Способ по п.1, в котором упомянутое исправление содержит этап, на котором исключают компоненты, которые нарушают упомянутые правила, из упомянутого повторного составления.

7. Способ по п.1, дополнительно содержащий этап, на котором обнаруживают враждебное содержимое внутри, по меньшей мере, одного из упомянутых компонентов.

8. Способ по п.3, в котором упомянутая неправильно сформированная структура сообщения электронной почты выбирается из группы, включающей в себя: неправильную структуру компонента, неправильное содержимое компонента, противоречивую информацию, неправильно сформированное вложение, собственный тип кодирования и маскирование типа файла.

9. Система для предотвращения вредоносного использования сообщения электронной почты, реализованная на хост-платформе, при этом упомянутая система содержит модуль для идентификации компонентов сообщения электронной почты; модуль для проверки соответствия структурной формы упомянутого сообщения электронной почты его общим правилам; модуль для исправления структурной формы упомянутого сообщения электронной почты и модуль для повторного составления упомянутого сообщения электронной почты из его компонентов.

10. Система по п.9, в которой упомянутые правила относятся к общей структуре сообщения электронной почты.

11. Система по п.9, в которой, по меньшей мере, одно из упомянутых правил относится к обнаружению неправильно сформированной структуры упомянутого сообщения электронной почты.

12. Система по п.9, в которой, по меньшей мере, одно из упомянутых правил относится к обнаружению вариантов вредоносного использования внутри упомянутого сообщения электронной почты.

13. Система по п.9, в которой упомянутая структурная форма выбирается из группы, состоящей из структуры, формата и содержимого.

14. Система по п.9, дополнительно содержащая модуль для обнаружения враждебного содержимого внутри упомянутых компонентов.